JVNVU#91109359
TaxiHail に複数の脆弱性
Mobile Knowledge が提供する HaxiHail には、情報漏えいとセンシティブなデータを暗号化しない問題が存在します。
- TaxiHail 3.1.26 より前のバージョン
Mobile Knowledge が提供する TaxiHail は、タクシーの "利用者が iOS、Android またはウェブからリアルタイムに予約およびその管理ができ、ピーク時の電話の混雑を緩和することができる" アプリケーションフレームワークです。TaxiHail には、次の脆弱性が報告されています:
不適切なデフォルトパーミッション (CWE-276)
TaxiHail はユーザの GPS 情報をログに出力します。ログファイルのパーミッションは適切でないため、他のアプリケーションがログに含まれた位置情報を取得することが可能となります。
センシティブなデータを暗号化しない問題 (CWE-311)
TaxiHail はサーバとの通信を暗号化しません。
タクシー会社のサービスが、TaxiHail をカスタマイズして使用している可能性があります。それはつまり、複数の iOS 向け、Android 向けアプリにこの脆弱性が受け継がれていることを意味しています。報告者によると、100 を超えるアプリが TaxiHail から作られているとのことです。
遠隔の攻撃者によって、ユーザのプライベートな情報を取得されたり、アプリの通信内容を傍受されたりする可能性があります。
アップデートする
Mobile Knowledge は TaxiHail version 3.1.26 (Android 版および iOS 版) で本脆弱性を修正しており、TaxiHail をもとに作成されたアプリも同様に修正されています。
TaxiHail の旧バージョンでは SSL 証明書を適切に検証していないことも報告されています。報告者によると、この問題は TaxiHail の最新版では修正されているとのことです。現時点では、どのバージョンでこの問題の修正が行われたのかは判明していません。
可能な限り早く、修正を行ったバージョンにアプリをアップデートすることを推奨します。
| ベンダ | リンク |
| Mobile Knowledge Systems Inc. | TaxiHail |
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
